Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Salve galera!

    Aki estou novamente para pedir os vossos conselhos.
    Como sempre eu só quero coisas dificeis e estranhas hehehe.

    O caso é que configurei um squid 2.6 como proxy transparente, está tudo funcionando normalmente, porém eu gostaria de impedir que esse fosse usado de maneira comum, ou seja que ele não aceite ser configurado no navegador.

    Isso é porque esse servidor funciona como proxy reverso, ou seja, ele fica em um gateway e fornece os sites de sua rede interna(esses sites usam a porta 8080) para a internet, dessa forma não quero que pessoas na internet possam conectra-se a ele, mas sim apenas mandar as requisições para os sites internos. Hoje como está é possivel conectar-se a ele mas ele só deixa navegar nos ips que eu libero pelas acls(10.20.0.0/16), porém se eu impedir a conexão será uma vulnerabilidade a menos.

    A configuração dele é a que se segue:

    http_port 8080 transparent
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    cache deny QUERY
    acl apache rep_header Server ^Apache
    broken_vary_encoding allow apache
    access_log /var/log/squid/access.log squid
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    acl all src 0.0.0.0/0.0.0.0
    acl dstvpn dst 10.20.0.0/16
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl Safe_ports port 8080 # multiling http
    acl CONNECT method CONNECT
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access allow localhost
    http_access deny !dstvpn
    http_access allow all
    http_reply_access allow all
    icp_access allow all
    coredump_dir /var/spool/squid



    Alguém ai sabe como fazer isso?
    Valew galera, abraços!
    Última edição por landrower; 05-05-2009 às 17:36.

  2. Citação Postado originalmente por landrower Ver Post
    Salve galera!

    Aki estou novamente para pedir os vossos conselhos.
    Como sempre eu só quero coisas dificeis e estranhas hehehe.

    O caso é que configurei um squid 2.6 como proxy transparente, está tudo funcionando normalmente, porém eu gostaria de impedir que esse fosse usado de maneira comum, ou seja que ele não aceite ser configurado no navegador.

    Isso é porque esse servidor funciona como proxy reverso, ou seja, ele fica em um gateway e fornece os sites de sua rede interna(esses sites usam a porta 8080) para a internet, dessa forma não quero que pessoas na internet possam conectra-se a ele, mas sim apenas mandar as requisições para os sites internos. Hoje como está é possivel conectar-se a ele mas ele só deixa navegar nos ips que eu libero pelas acls(10.20.0.0/16), porém se eu impedir a conexão será uma vulnerabilidade a menos.

    A configuração dele é a que se segue:

    http_port 8080 transparent
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    cache deny QUERY
    acl apache rep_header Server ^Apache
    broken_vary_encoding allow apache
    access_log /var/log/squid/access.log squid
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    acl all src 0.0.0.0/0.0.0.0
    acl dstvpn dst 10.20.0.0/16
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl Safe_ports port 8080 # multiling http
    acl CONNECT method CONNECT
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access allow localhost
    http_access deny !dstvpn
    http_access allow all
    http_reply_access allow all
    icp_access allow all
    coredump_dir /var/spool/squid



    Alguém ai sabe como fazer isso?
    Valew galera, abraços!

    bloqueando a porta no firewall!



  3. Citação Postado originalmente por JHONNE Ver Post
    bloqueando a porta no firewall!
    Antes de mais nada obrigado pela resposta.

    Porém eu já tentei isso sem sucesso pois ao bloquear a porta 8080 ai não funciona ele como transparente tbm.

    Como eu disse ele funciona como proxy reverso e publica para internet sites que estão na rede interna (10.20.0.0/16) ouvindo na porta 8080, ou seja, quando alguém vai acessar na internet vai digitar:
    "http://site1.meudominio.com.br:8080"
    O endereço "site1.meudominio.com.br" publicamente aponta para o ip externo da maquina onde está rodando o squid.
    Então o squid aceita a requisição, consulta o bind local que ira dizer que o "site1.meudominio.com.br" fica no ip 10.20.40.10 e vai entregar esse site a quem o requisitou.
    Perceba que esses pacotes eram destinados originalmente ao proprio ip do squid, por isso que ele não é um proxy transparente comum.

    Nesse caso se eu bloquear a porta 8080 vai impedir a conexão, mas vai impedir tbm que o endereço ""http://site1.meudominio.com.br:8080"" seja acessado.

    Por isso que disse que só preciso de coisas estranhas e comlicadas heheh

    Abraços!
    Última edição por landrower; 05-05-2009 às 18:14.

  4. Citação Postado originalmente por landrower Ver Post
    Antes de mais nada obrigado pela resposta.

    Porém eu já tentei isso sem sucesso pois ao bloquear a porta 8080 ai não funciona ele como transparente tbm.

    Como eu disse ele funciona como proxy reverso e publica para internet sites que estão na rede interna (10.20.0.0/16) ouvindo na porta 8080, ou seja, quando alguém vai acessar na internet vai digitar:
    "http://site1.meudominio.com.br:8080"
    O endereço "site1.meudominio.com.br" publicamente aponta para o ip externo da maquina onde está rodando o squid.
    Então o squid aceita a requisição, consulta o bind local que ira dizer que o "site1.meudominio.com.br" fica no ip 10.20.40.10 e vai entregar esse site a quem o requisitou.
    Perceba que esses pacotes eram destinados originalmente ao proprio ip do squid, por isso que ele não é um proxy transparente comum.

    Nesse caso se eu bloquear a porta 8080 vai impedir a conexão, mas vai impedir tbm que o endereço ""http://site1.meudominio.com.br:8080"" seja acessado.

    Por isso que disse que só preciso de coisas estranhas e comlicadas heheh

    Abraços!

    amigo, basta vc implentar direito a regra no firewall colocando qual a range de ips que vc não deseja que acesse diretamente a porta 8080



  5. Citação Postado originalmente por JHONNE Ver Post
    amigo, basta vc implentar direito a regra no firewall colocando qual a range de ips que vc não deseja que acesse diretamente a porta 8080
    Eu desejo que toda a internet os acesse a porta 8080. E nessa configuração do squid implementei uma regra para impedir que outros sites sejam acessados fora de rede (10.20.0.0/16) na porta 8080.

    Preciso acredito que a solução para o que eu quero seja alguma configuração do rpoprio squid, mas não consegui achar?

    COnhece algum bom tutorial de squid?

    Abraços






Tópicos Similares

  1. Respostas: 3
    Último Post: 26-02-2013, 06:28
  2. Como Impedir que meus clientes vejão os outros clientes
    Por diegodemedeiros no fórum Redes
    Respostas: 8
    Último Post: 02-04-2011, 11:46
  3. Como impedir que minha rede seja scaneada?
    Por PedroHANeto no fórum Redes
    Respostas: 4
    Último Post: 29-05-2008, 18:40
  4. Como criar um Disco do LILO configurado?
    Por thiagox no fórum Servidores de Rede
    Respostas: 4
    Último Post: 15-09-2004, 20:23
  5. Como faço que estações linux logem em um server Linux.
    Por SlackUser no fórum Servidores de Rede
    Respostas: 3
    Último Post: 28-01-2004, 14:45

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L